Sercanca Çözümler..

Sophos XG – Dışarıdan İçeriye Port Açmak (DNAT)

26.03.2017
679
Sophos XG – Dışarıdan İçeriye Port Açmak (DNAT)

Daha önce farklı markanın ürünleri üzerinde DNAT işlemini anlatmıştım. Bu yazımızda Sophos XG üzerinde nasıl yapıldığına değineceğim.

Bilindiği gibi IPv4 yetersizliği sonucu ortaya çıkan NAT (Network Address Translation) sistemi sayesinde lokal ağımızı internet ağı ile konuşturabiliyoruz. SNAT,DNAT,Full NAT,PNAT gibi farklı tipleri olsa da bu yazıda konumuz DNAT olacaktır.

Dış networkten gelen bir paketi içerideki hedefe göndermek için Firewall üzerinde DNAT kuralı yazılması gerekmektedir. Dışarıdan gelen paket belirlenen port ile dış IP adresimize gelecek ve Firewall ilgili DNAT kuralı ile Lokal de bulunan hedefe bizim belirlediğimiz kurallar çerçevesinde paketi iletecektir.

1- Kuralın Oluşturulması

Sophos XG nin arayüzüne girin.

Sol tarafta bulunan “Firewall” menüsüne girin.

Sağ üst tarafta bulunan “Add Firewall Rule” butonuna basın ve “Business Application Rule” seçeneğini seçin.

2- Kural Tipi ve Adı

Yeni bir kural oluştuğunu göreceksiniz.

Application Template” seçeneğini “DNAT/Full NAT/Load Balancing” olarak seçin.

Rule Name” kısmına kurala vermek istediğiniz ismi yazın.

Description” kısmına isteğe bağlı açıklama yazabilirsiniz.

Rule Position” kısmını “Top” veya “Bottom” seçebilirsiniz. “Top” seçtiğiniz durumda kural en üste “Bottom” seçerseniz Kural en alta gidecektir.

3 – Source Yapılandırması

Gelecek olan paketlerin bilgilerini aşağıdaki “Source” alanına girmemiz gerekmektedir.

Source Zones” kısmına ilgili paketin hangi Zone bölgesinden geleceğini seçin. Bu kuralda internetten geleceği için “WAN” olarak seçtim.

Allowed Client Networks” kısmında internetten gelen paketin hangi IP adresinden veya hangi ülkeden geleceğini seçin. Eğer herhangi bir yerden gelmesi sorun teşkil etmiyorsa “Any” seçebilirsiniz.

Blocked Client Networks” kısmında tersi olarak engellemek istediğiniz IP yada ülkeyi seçebilirsiniz.

4- Destination ve Services Yapılandırması

“Destination & Service” kısmına geldiğinizde aşağıdaki gibi tanımlamar mevcuttur. Forward Type seçimine göre taslak değişmektedir. Hepsini tek tek anlatmayı uygun gördüm. Siz kendi amacınıza hangisi uygun ise onun üzerinden gidebilirsiniz.

Destination Host/Network” kısmında hangi porttan paketin geleceği belirtilir. Port3 benim cihazımda dış portudur. Siz de WAN portunuzu buradan seçin.

“Forward Type” kısmı kuralınızın Port tipini belirtir. Aşağıdaki resimde “Port” olarak seçilmiştir. Bunun anlamı açacağınız portu buraya direkt yazmanız gerektiğidir.

“Service Port(s) Forwarded” kısmında dışarıdan gelen paketin hangi port ile geleceğini yazdığımız kısımdır. Deneme için “5040” portunu yazdım.

Protokol” Dışarıdan gelen portun hangi protokolde geleceği seçilir.

“Forward To” bölümünde gelen paketin ilgili porttan girdikten sonra lokalde nereye erişeceğinin ayarladığı kısımdır.

“Protected Server(s)” kısımında lokalde bulunan ve gelen paketin yönlendirileceği cihaz seçilir. Eğer yoksa IP adresi eklenir.

“Protected Zone” kısmında Cihazın hangi Zone alanında olduğu seçilir. Benim örneğimde “Log-Server” “LAN” bölgesinde çalışmaktadır.

Mapped Port type” kısmı paketin ilgili cihaza giderken ki Port Tipi seçilir. Genelde “Forward Type” kısmı ile aynı olur.

Eğer dışarıdan gelen port içeri girdiğinde cihaza erişirken değiştirilip farklı bir port olarak yönlendirilecek ise “Change Destination Ports(s)” seçeneği seçilir ve “Mapped Port” kısmına dönüştürüleceği Port numarası yazılır.

Aşağıdaki ekran görüntüsünde 5040 olarak gelen port 3389 olarak değiştirildiği gözükmektedir. Eğer seçmezseniz dışarıdan ne gelirse aynen cihaza gönderecektir.

Sophos XG v16 :

Aşağıdaki görselde “Forward type” kısmı “Port Range” olarak seçilmiştir. Bunun anlamı dışarıdan gelecek olan paket 2 ayrı port aralığında olacağıdır. örnekte 5040 – 5060 aralığı örnek olarak verilmiştir.

Sophos XG v16 aşağıdaki görselde gördüğünüz gibidir.

Aşağıdaki görselde “Forward type” kısmı “Port List” olarak seçilmiştir. Bunun anlamı dışarıdan gelecek olan paket birden fazla port ile içeri alınacaktır. Aralarına virgül koyarak portlar tanımlanabilir.

Eğer “Change Destination Port(s)” seçilirse değişecek portlar aynı sırada aralarına virgül koyarak yazılmalıdır.

Aşağıdaki görselde “Forward type” kısmı “Everthing” olarak seçilmiştir. Dışarıdan gelen tüm herşey ilgili cihaza aynen gönderilecektir.

Advanced” Kısmna gelindiğinde artık portlar ile işimiz bitmiş ve gelişmiş bir kaç ayar yapıp kuralımızı kaydedebiliriz.

“Intrusion Prevention” Kısmı açılan DNAT kuralının IPS saldırılarından arındırılması için önemlidir. Bizim kuralımız WAN’dan LAN ‘a gitmektedir. Hazır şablon olarak “WAN TO LAN” seçeneğini seçmeniz uygundur. Farklı seçenekler listede olup olmayanları kendiniz oluşturabilirsiniz.

“Traffic Shaping” kısmında dilerseniz hız limitleme yapabilir ve ilgili kuralın ne kadar bandwidth kullanacağınızı tanımlayabilirsiniz. Ben 2 Mbps adında bir tanımlama yapmış ve burada seçmiştim.

“HeartBeat” teknolojisi kullanıyorsanız “Synchronized Security” bölümünü ayarlayabilirsiniz. Yoksa “No Restriction” seçebilirsiniz.

“routing” Kısmında “Rewrite source Address(Masquerading)” seçerseniz Kaynak adresi SNAT ta tabi tutulur. DNAT işleminde seçmenizin faydası yoktur. Ama lokal bir paket dış ip ile tekrar lokale gelecekse bu seçenek seçilir. Başka bir konuda detaylı bilgi vereceğim.

“Create Reflexive Rule” seçeneğini seçerseniz aynı kuralın tersini oluşturacak ve cihaz cevap verirken oluşturulan kural ile dönüş yapacaktır.

Son olarak “Log Traffic” seçeneği ile bu kural üzerindeki tüm trafik loglanacaktır. genelde tüm kurallarda seçmeye özen gösterin.

Sophos XG v17 [Güncelleme : 24.12.2017]

Sonunda Sophos XG tarafında v17 yayımlandı. Hoşuma giden ve gitmeden bir çok özelliği mevcut. Ama genele bakarsak gayet iyi olduğunu düşünüyorum.

Port yönlendirme tarafında da değişiklik olmuş. Hazırladığım bu makale maalesef v16 için geçerli. V17 için yeniden yazı hazırlamayacağım için bu yazının altına güncelleme olarak eklemeyi uygun gördüm.

Şimdi yapılan değişiklik tarafına bakalım.

v16 tarafında port yönlendirme yaparken tek kuralda UDP-TCP olarak yazamıyorduk. Aynı port için bile. !! Ama artık v17 ile birlikte yazabiliyoruz.

Source Port tanımı yapakerken “Destination & Service” kısmında Direkt servisi yazmaktansa Servis tanımlayıp listeye ekliyoruz. Bu sayede farklı türde portlar tanımlayabiliyoruz. Çok detaya inmeyeceğim aşağıdaki görsel bu konu için yeterlidir.

Eğer aralık yazacaksanız yukarıdaki resimdeki gibi yazın. Yok bir portu Hem TCP hemde UDP olarak yazacaksanız o zaman “+” butonuna basın ve altta oluşan satırda gerekli düzenlemeyi yapın. “Source Port”  kısmına “*” yazın yada “1:65535” yazın. Hata edip başka birşey yazarsanız çalışmaz. Bildiğiniz gibi bağlantıyı kuran tarafta hangi port müsaitse onu kullanır. Özel bir durum yoksa buraya aralık vermek gerekir.

Başka bir yazıda görüşmek üzere,

Sercan TEK

BİR YORUM YAZIN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ZİYARETÇİ YORUMLARI - 2 YORUM
  1. Arif dedi ki:

    Port açma işlerini tek bölümde yapmak açıkçası hoşuma gitti. yenilikçi bir yapısı var. müsait zamanda SG deki FullNAT XG tarafında nasıl yapılır ile ilgili makale yazarmısınız ?

    1. Sercan TEK dedi ki:

      Hocam takipte kalın.. devamı gelecek.

Yayımlanan tüm yazılar Sercan TEK tarafından yazılmaktadır. İzinsiz kullanımı yasaktır.